网安加·百家讲坛 | 徐一丁:金融机构网络安全合规浅析

news2024/11/29 2:30:32

作者简介:徐一丁,北京小西牛等保软件有限公司解决方案部总监,网络安全高级顾问。2000年开始从事网络安全工作,主要领域为网络安全法规标准研究、金融行业安全咨询与解决方案设计、信息科技风险管理评估等。对国家网络安全法规标准体系、网络安全框架与技术应用、金融机构安全体系建设与运营等方面有深入的研究与理解。

金融机构安全建设需求分析框架

由于金融数据的敏感性和金融交易的重要性,使得金融机构成为网络攻击行为的重点目标,也使金融机构成为网络安全监管的重点关注对象。

金融机构在进行网络安全需求分析和安全体系建设时,建议从安全建设的外部和内部两方面的驱动力进行分析,确保在大方向上没有遗漏或偏离。

图片

图1 金融机构网络安全需求分析框架

外驱力主要指国家法律法规和监管要求,金融机构必须遵循《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国密码法》等法律法规,以及《网络安全等级保护基本要求》《关键信息基础设施安全保护条例》等监管规定,确保在法律框架内构建安全体系。

同时,还需重点关注行业监管要求,如《商业银行信息科技风险管理指引》及各类专项管理办法等,以及地区性法规,如《广东省地方金融监督管理条例》,这些法规为金融机构提供了安全建设的指导和标准。

内驱力则涉及金融机构自身的业务发展需求和风险管理。金融机构需认识到风险管理是其核心竞争力之一,建立和完善风险管理和内部控制制度,以应对恶意代码、木马、病毒、蠕虫、APT攻击、勒索软件等网络威胁。金融机构应从业务角度出发,分析潜在的安全风险,制定相应的安全策略和措施。

合规需求与自身安全防护形成了金融机构安全风险的需求来源,根据两部分需求进行安全体系设计并进行建设,通常涉及技术体系、组织体系和制度体系等安全子体系的构建。

技术体系包括应用防护、入侵检测、防火墙、安全运营中心(SOC)、安全验证和漏洞扫描等,以确保技术层面的安全;组织体系则涉及建立专门的安全团队,明确安全责任和流程;制度体系则需要制定详细的安全政策和操作规程,让工作有据可依,确保安全措施得到有效执行。

通过内外结合的方式,金融机构可以全面分析安全需求,构建一个既符合法律法规要求,又能满足业务发展需要的安全体系,从而在合规的同时保障客户和机构资产安全,促进金融业务安全和健康发展。

金融现场检查的趋势变化

作为金融机构的安全负责人,需要了解监管检查方法正在经历显著变化,监管机构不再仅仅关注表面的合规性,而是转向了更为深入和细致的实效检验。

如金融监管总局于2023年11月新设了科技监管司,负责拟订相关信息科技发展规划和信息科技风险监管制度并组织实施。按分工承担网络安全、数据安全、关键信息基础设施监管等工作,推动数字化信息化建设。科技监管司的成立意味着信息科技风险监管工作上了新台阶,国内部分商业银行、基金公司等,接受了信息科技风险的现场检查。

本年度的信息科技风险检查在检查时长、检查范围和力度上均进行了显著加强,并且网络安全的检查委托国内权威的网络安全研究机构进行,不再仅仅依赖于表面的问题和对标检查,而是更加注重实效检验,检查方法从单一的对标转向了体系深挖,即从表面合规转向了深入的技术和管理层面的检查。

对金融机构来说,需要准备好接受基于POC的漏洞扫描、安全措施有效性验证、内存木马检测和敏感数据检查等专项检查工具的检验。

以针对北方地区某城商行的网络安全专项检查为例,金融监管总局委托某部研究所执行检查,使用了多项专用网络安全检查工具,发现多个严重问题如高风险漏洞、弱口令等,以此为出发点深入分析管理与流程方面的漏洞,进行了点面结合的高效检查。

监管检查随着金融形势与网络安全的技术发展,也不断更加深入和细致,不仅关注表面的合规性,也更加注重实际的安全效果和技术层面的深入检查。通过使用专业的检查工具和资深专家的引领,监管机构能够更有效地识别潜在的安全问题。

金融机构的安全合规策略建议

结合以上背景情况,我们建议金融机构参考以下的“三步法”,考虑网络安全的合规工作:

第一步:按照法规标准要求进行安全建设

金融机构应深入研究和理解国家、行业与地方的安全监管要求,可以在内部管理平台中增加知识模块,建立金融行业适用的法规标准库。

从前面的分析可以看出,金融机构所面对的网络安全法规标准情况比较复杂,借助法规标准库,金融机构可以全面而清晰地对安全法规进行研究与掌握,并将这些要求转化为自身安全建设的具体动作。

同时,合规平台还可以考虑上传保存机构合规工作涉及的系统、设备、测评进度情况、结果报告、得分与评价等各方面信息,实现清晰的合规管理。

金融机构还需要对自身的分支机构、供应链等进行监督检查,贯彻安全合规要求。机构总部管理人员在系统中制定合理的安全指标,下发给分支机构或供应链企业作为自查任务,相关单位在接到任务后,需要及时地进行自查和整改工作,并将结果上报至金融机构总部。

这一流程确保了各项安全指标能够得到在机构整体实际的执行和落实,提高了机构全系统合规管理的效率。

第二步:参考监管检查方法自检,常态化主动合规

主动合规包括内外两个方面,需要结合机构的自身情况常态化执行。

从内部看,金融机构的众多系统会不断地进行更新和升级,如新应用系统的上线、服务器配置的变更等,这些变化很可能会对合规状况产生影响,应借助安全运营体系持续监控当前的状态,持续确保合规性。

例如,利用自动化工具和实时数据分析,对系统变更进行持续监控,及时发现并解决可能的合规风险。合规工作相关的信息系统应该能够与机构的各类安全运营平台进行对接与联动,安全运营平台监控合规相关指标并将结果动态反馈到合规平台上,安全负责人进行判断并整改不合规的问题,针对由于内部各类变化的情况进行主动合规。

从外部看,行业监管部门检查方法日新月异,评价尺度也难以了解,在现场检查中往往给金融机构合规迎检带来压力。

这说明从保证合规的角度出发,仅依靠研究与落实国家与行业的安全法规标准是不足的。金融机构可以与国内专业的专家团队合作,长年关注监管检查的发展,将相关方法与工具总结成检查剧本,其中包含从监管视角出发的安全检查指标,并不断更新到前述的合规平台上。

金融机构借助这些剧本,能够以监管的视角进行自查,并整改不合规项,从检验的角度去保障安全合规。

第三步:查缺补漏,高效迎接检查

在前面两步的基础上,金融机构已经建立了比较完善并且符合监管要求的安全体系。

而为了迎接监管检查,金融机构应采取以下措施:迎接监管检查之前进行高效的自检与整改,这是确保顺利通过检查的关键步骤。金融机构需要根据监管检查的重点内容,制定详细的自检计划,明确检查的范围和深度。

自检计划应涵盖所有可能受到本次监管检查关注的各方面,这方面可以借助内部合规系统的知识库,其中包含的安全检查指标。利用内部安全团队和外部专家团队的资源,对计划中的各个方面进行快速的自检。自检过程中,应使用先进的检查工具和自动化技术,以提高检查的效率和准确性。

例如,可以利用本次检查可能涉及的漏洞扫描工具检测网络安全漏洞,使用数据分类和访问控制工具检查数据保护措施的有效性,以及通过业务连续性计划的演练来评估业务连续性管理的充分性。

在自检过程中,一旦发现问题,应立即启动整改程序。整改工作应由跨部门的团队负责,包括但不限于网络安全团队、系统运维团队、网络运维团队、安全服务商、安全厂商、应用开发商等。需要明确这些角色在自查与整改中的责任,分配任务,确保整改措施能够全面覆盖问题领域,并得到有效执行。

整改过程中,应定期评估整改进度,并与监管检查的时间表保持同步,确保在真正监管到场检查前能够完成所有必要的整改工作。

金融机构还应建立一个持续的监控机制,以确保整改措施得到持续执行,并能够及时发现和解决新出现的问题。

图片

图2 网络安全合规态势大屏

最后,可以考虑以类似图2的系统大屏,总体展示单位合规的状况,统一呈现全面的合规态势概览,包括基础信息、安全制度、合规管理以及关键运营动态等指标,可以一目了然地向监管检查单位展示本机构的安全合规工作结果与成绩,便于现场检查的效率。

通过这些图表,安全负责人能够清晰说明整体的安全合规状况,系统还可以在安全运营页面展示安全风险相关的统计数据,包括网络攻击、安全问题的数量和类型,以及安全通告的发布情况等。

安全负责人能够从合规和运营的角度识别潜在的问题并制定相应的改进措施,通过全局动态监控和调整,确保能够及时获取全盘信息,对安全合规和安全防护状态进行持续的监控和管理。

汇总数据和配套的相关图表等也是安全工作成果的体现,用数字化定量的方式准确地展示工作成绩、合规历史情况对比、提升幅度、风险控制水平等,成为安全负责人工作汇报的重要支撑内容。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2222227.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

深度学习 之 模型部署 使用Flask和PyTorch构建图像分类Web服务

引言 随着深度学习的发展,图像分类已成为一项基础的技术,被广泛应用于各种场景之中。本文将介绍如何使用Flask框架和PyTorch库来构建一个简单的图像分类Web服务。通过这个服务,用户可以通过HTTP POST请求上传花朵图片,然后由后端…

【Qt】QTableView添加下拉框过滤条件

实现通过带复选框的下拉框来为表格添加过滤条件 带复选框的下拉框 .h文件 #pragma once #include <QCheckBox> #include <QComboBox> #include <QEvent> #include <QLineEdit> #include <QListWidget>class TableComboBox : public QComboBox …

前端构建工具vite的优势

1. 极速冷启动 Vite 使用原生 ES 模块 (ESM) 在开发环境下进行工作。相比于传统构建工具需要打包所有的文件&#xff0c;Vite 只在浏览器请求模块时动态加载所需的文件。无打包冷启动&#xff1a;无需预先打包&#xff0c;项目启动非常快&#xff0c;尤其对于大型项目效果更明…

顺序表(一)(数据结构)

一. 线性表 线性表&#xff08;linear list&#xff09;是n个具有相同特性的数据元素的有限序列 。 线性表是一种在实际中广泛使用的数据结构&#xff0c;常见的线性表&#xff1a;顺序表、链表、栈、队列、字符串... 线性表在逻辑上是线性结构&#xff0c;是人为想象出来的数…

HCIP--1

同一区域内的OSPF路由器拥有一致的 LSDB, 在区域内&#xff0c;OSPF 采用 SPF算法计算路由一个区域太多路由器&#xff0c;硬件资源跟不上&#xff0c;所以多划分区域 OSPF 路由计算原理 1. 区域内路由计算 LSA 在OSPF中&#xff0c;每个路由器生成 LSA&#xff0c;用于告诉…

【部署篇】RabbitMq-03集群模式部署

一、准备主机 准备3台主机用于rabbitmq部署&#xff0c;文章中是在centos7上安装部署rabbitmq3.8通过文章中介绍的方式可以同样在centos8、centos9上部署&#xff0c;只需下载对应的版本进行相同的操作。 主机IP角色说明192.168.128.31种子节点192.168.128.32普通节点192.16…

Matlab学习01-矩阵

目录 一&#xff0c;矩阵的创建 1&#xff0c;直接输入法创建矩阵 2&#xff0c;利用M文件创建矩阵 3&#xff0c;利用其它文本编辑器创建矩阵 二&#xff0c;矩阵的拼接 1&#xff0c;基本拼接 1&#xff09; 水平方向的拼接 2&#xff09;垂直方向的拼接 3&#xf…

Linux系统基础-进程间通信(5)_模拟实现命名管道和共享内存

个人主页&#xff1a;C忠实粉丝 欢迎 点赞&#x1f44d; 收藏✨ 留言✉ 加关注&#x1f493;本文由 C忠实粉丝 原创 Linux系统基础-进程间通信(5)_模拟实现命名管道和共享内存 收录于专栏[Linux学习] 本专栏旨在分享学习Linux的一点学习笔记&#xff0c;欢迎大家在评论区交流讨…

LeetCode--删除并获得点数--动态规划

一、题目解析 二、算法原理 根据题意&#xff0c;在选择了元素 x 后&#xff0c;该元素以及所有等于 x−1 或 x1 的元素会从数组中删去。若还有多个值为 x 的元素&#xff0c;由于所有等于 x−1 或 x1 的元素已经被删除&#xff0c;我们可以直接删除 x 并获得其点数。因此若选…

Win10+MinGW13.1.0编译Qt5.15.15

安装windows SDK、python、ruby、cmake、Perl[可选]安装MySQL解压qt-everywhere-opensource-src-5.15.15.zip&#xff08;注&#xff1a;不要使用qt-everywhere-opensource-src-5.15.15.tar.xz&#xff09;修改源代码 E:\qt-everywhere-src-5.15.15\qtbase\src\3rdparty\angle\…

hive数据库,表操作

1.创建; create database if not exists myhive; use myhive; 2.查看: 查看数据库详细信息:desc database myhive; 默认数据库的存放路径是 HDFS 的&#xff1a; /user/hive/warehouse 内 补充:创建数据库并指定 hdfs 存储位置:create database myhive2 location /myhive2 3.…

<项目代码>YOLOv8路面垃圾识别<目标检测>

YOLOv8是一种单阶段&#xff08;one-stage&#xff09;检测算法&#xff0c;它将目标检测问题转化为一个回归问题&#xff0c;能够在一次前向传播过程中同时完成目标的分类和定位任务。相较于两阶段检测算法&#xff08;如Faster R-CNN&#xff09;&#xff0c;YOLOv8具有更高的…

Codeforces Round 881 (Div. 3)(A~F1题解)

这场比赛可能是因为比较老吧&#xff0c;我感觉很轻松&#xff0c;就是第五个卡了一下&#xff0c;看错题了&#xff0c;原本应该是严格大于的&#xff0c;从而导致代码一直出现bug&#xff0c;在1小时20分钟才解决 A. Sasha and Array Coloring 题意&#xff1a;就是说给你n个…

提权 | Windows系统

文章目录 cmd提权meterpreter提权getsystemsteal_tokenmigrate 令牌窃取(MS16-075)烂土豆提权步骤烂土豆提权原理 sc命令提权抓本地密码提权其他工具pr工具 内核提权WindowsVulScan cmd提权 前言&#xff1a;我们getshell一个用windows部署的网站后&#xff0c;通过蚁剑或者其…

ESP32 S3 语音识别 语音唤醒程序流程

ESP32 S3 语音识别 语音唤醒程序流程 参考例程首先进行esp_periph_set_init 初始化之后执行setup_player&#xff0c;之后执行start_recorder&#xff0c;识别的主处理voice_read_task 参考例程 D:\Espressif\esp-adf\examples\speech_recognition\wwe\ 首先进行esp_periph_se…

零知识学习WLAN漫游二、无线漫游介绍(2)

接前一篇文章&#xff1a;零知识学习WLAN漫游一、无线漫游介绍&#xff08;1&#xff09; 本文内容参考&#xff1a; WLAN漫游简介_漫游主动性-CSDN博客 无线漫游_百度百科 无线漫游简述-CSDN博客 特此致谢&#xff01; 一、WLAN漫游简介 3. 漫游协议和快速漫游协议 802.…

算法的学习笔记—数字在排序数组中出现的次数(牛客JZ53)

&#x1f600;前言 在编程中&#xff0c;查找有序数组中特定元素的出现次数是一个常见的问题。本文将详细讲解这个问题的解决方案&#xff0c;并通过二分查找法优化效率。 &#x1f3e0;个人主页&#xff1a;尘觉主页 文章目录 &#x1f970;数字在排序数组中出现的次数&#x…

九、pico+Unity交互开发——触碰抓取

一、VR交互的类型 Hover&#xff08;悬停&#xff09; 定义&#xff1a;发起交互的对象停留在可交互对象的交互区域。例如&#xff0c;当手触摸到物品表面&#xff08;可交互区域&#xff09;时&#xff0c;视为触发了Hover。 Grab&#xff08;抓取&#xff09; 概念&#xff…

深入浅出:深度学习模型部署全流程详解

博主简介&#xff1a;努力学习的22级计算机科学与技术本科生一枚&#x1f338;博主主页&#xff1a; Yaoyao2024往期回顾&#xff1a; 【论文精读】PSAD&#xff1a;小样本部件分割揭示工业异常检测的合成逻辑每日一言&#x1f33c;: 生活要有所期待&#xff0c; 否则就如同罩在…

【国潮来袭】华为原生鸿蒙 HarmonyOS NEXT(5.0)正式发布:鸿蒙诞生以来最大升级,碰一碰、小艺圈选重磅上线

在昨日晚间的原生鸿蒙之夜暨华为全场景新品发布会上&#xff0c;华为原生鸿蒙 HarmonyOS NEXT&#xff08;5.0&#xff09;正式发布。 华为官方透露&#xff0c;截至目前&#xff0c;鸿蒙操作系统在中国市场份额占据 Top2 的领先地位&#xff0c;拥有超过 1.1 亿 的代码行和 6…